Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Glossário de Cibersegurança Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Quebrando senhas do Active Directory com AS-REP Roasting

Quebrando senhas do Active Directory com AS-REP Roasting

Nov 3, 2022

Uma maneira crítica pela qual os atacantes obtêm acesso a um ambiente de TI e elevam seus privilégios é roubando hashes de senhas de usuários e decifrando-as offline. Cobrimos um método para coletar senhas de contas de serviço em nosso post sobre Kerberoasting. Aqui exploraremos uma técnica que funciona contra certas contas de usuários, AS-REP Roasting. Vamos abordar como os adversários realizam o AS-REP Roasting usando a ferramenta Rubeus e como você pode defender sua organização contra esses ataques.

O que é AS-REP Roasting?

AS-REP Roasting é uma técnica que permite aos adversários roubar os hashes de senha de contas de usuário que têm a pré-autenticação Kerberos desativada, o que eles podem então tentar quebrar offline.

Quando a pré-autenticação está ativada, um usuário que precisa de acesso a um recurso inicia o processo de autenticação Kerberos enviando uma mensagem de Solicitação de Servidor de Autenticação (AS-REQ) para o controlador de domínio (DC). O carimbo de data/hora dessa mensagem é criptografado com o hash da senha do usuário. Se o DC conseguir descriptografar esse carimbo de data/hora usando seu próprio registro do hash da senha do usuário, ele enviará de volta uma mensagem de Resposta do Servidor de Autenticação (AS-REP) que contém um Ticket de Concessão de Ticket (TGT) emitido pelo Centro de Distribuição de Chaves (KDC), que é utilizado para futuras solicitações de acesso pelo usuário.

No entanto, se a pré-autenticação estiver desativada, um atacante poderá solicitar dados de autenticação para qualquer usuário e o DC retornaria uma mensagem AS-REP. Como parte dessa mensagem é criptografada usando a senha do usuário, o atacante pode então tentar forçar a senha do usuário offline.

Felizmente, a pré-autenticação está ativada por padrão no Active Directory. No entanto, ela pode ser desativada para uma conta de usuário usando a configuração mostrada abaixo:

Image

Realizando AS-REP Roasting com Rubeus

Usando Rubeus, você pode facilmente realizar o AS-REP Roasting para ver como esse ataque funcionaria no seu ambiente. Basta emitir o seguinte comando:

      Rubeus.exe asreproast

Isso irá encontrar automaticamente todas as contas que não exigem pré-autenticação e extrair seus hashes AS-REP para quebra offline, conforme mostrado aqui:

Image

Vamos levar este exemplo um passo adiante e extrair os dados em um formato que possa ser quebrado offline pelo Hashcat. Este comando irá exportar as informações do hash AS-REP para um arquivo de texto:

      Rubeus.exe asreproast /format:hashcat /outfile:C:\Temp\hashes.txt

Então é simples usar o Hashcat para quebrar os hashes encontrados. Basta especificar o código de modo de hash correto para hashes AS-REP, nosso arquivo de hash e um dicionário para usar na execução do palpite de senha por força bruta:

      hashcat64.exe -m 18200 c:\Temp\hashes.txt example.dict
Image

Protegendo Contra o AS-REP Roasting

Como você pode ver, o AS-REP Roasting oferece uma maneira simples de roubar os hashes de senha de contas de usuário que não exigem pré-autenticação, sem a necessidade de privilégios especiais. Felizmente, existem vários métodos eficazes para se defender contra esses ataques.

Solicite um Teste Gratuito do Netwrix Access Analyzer

Identificar contas que não requerem pré-autenticação

A melhor maneira de bloquear ataques de AS-REP Roasting é encontrar todas as contas de usuário que estão configuradas para não exigir pré-autenticação Kerberos e, em seguida, ativar essa configuração. Este script encontrará essas contas vulneráveis:

      Get-ADUser -Filter 'useraccountcontrol -band 4194304' -Properties useraccountcontrol | Format-Table name

A saída parece com isto:

Image

Força da Senha

Outra proteção eficaz contra ataques de AS-REP Roasting é exigir senhas longas e complexas, que são difíceis de decifrar mesmo que um adversário consiga roubá-las. Utilizar políticas de senha detalhadas — especialmente para contas privilegiadas — é um ótimo primeiro passo.

Privilégios de AD

Também é crucial saber quais contas de usuário possuem as permissões necessárias para modificar a configuração que controla se a pré-autenticação está ativada, pois elas poderiam desativá-la apenas pelo tempo suficiente para obter o hash AS-REP e depois ativá-la novamente. Esta consulta listará todos os direitos de acesso sobre contas de usuário que não exigem pré-autenticação:

      (Get-ACL "AD:\$((Get-ADUser -Filter 'useraccountcontrol -band 4194304').distinguishedname)").access
Image

Monitoramento de Alterações

Finalmente, você também deve monitorar o desativamento da pré-autenticação Kerberos. O Evento 4738 registra alterações nessa configuração de usuário:

Image

Alternativamente, você pode monitorar o ID de evento 5136:

Image

Como a Netwrix pode ajudar?

Proteja seu Active Directory de ponta a ponta com a Netwrix Active Directory Security Solution. Isso permitirá que você:

  • Descubra riscos de segurança no Active Directory e priorize seus esforços de mitigação.
  • Reforce as configurações de segurança em toda a sua infraestrutura de TI.
  • Detecte e contenha prontamente ameaças avançadas, como Kerberoasting, DCSync , extração de NTDS.dit e ataques Golden Ticket.
  • Responda a ameaças conhecidas instantaneamente com opções de resposta automatizadas.
  • Minimize as interrupções nos negócios com uma rápida recuperação do Active Directory.

FAQ

O que significa AS-REP?

AS-REP significa Mensagem de Resposta do Serviço de Autenticação (AS). É um tipo de mensagem transmitida entre um servidor e um cliente durante a autenticação Kerberos.

Quais usuários estão vulneráveis ao AS-REP roasting?

O AS-REP Roasting só pode ser usado contra contas de usuário que têm a pré-autenticação Kerberos desativada

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Joe Dibley

Pesquisador de Segurança

Pesquisador de Segurança na Netwrix e membro da Equipe de Pesquisa de Segurança da Netwrix. Joe é um especialista em Active Directory, Windows e uma ampla variedade de plataformas de software empresarial e tecnologias, Joe pesquisa novos riscos de segurança, técnicas de ataque complexas e as respectivas mitigações e detecções.

Últimos blogs

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Análise de Risco Quantitativa: Expectativa de Perda Anual

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança